As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de identidade e acesso para Amazon CloudWatch Logs
O acesso ao Amazon CloudWatch Logs requer credenciais que AWS possam ser usadas para autenticar suas solicitações. Essas credenciais devem ter permissões para acessar AWS recursos, como para recuperar dados de CloudWatch registros sobre seus recursos de nuvem. As seções a seguir fornecem detalhes sobre como você pode usar o [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) e CloudWatch os registros para ajudar a proteger seus recursos controlando quem pode acessá-los:
+ [Autenticação](#authentication-cwl)
+ [Controle de acesso](#access-control-cwl)
## Autenticação
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Controle de acesso
Você pode ter credenciais válidas para autenticar suas solicitações, mas, a menos que tenha permissões, não é possível criar ou acessar recursos do CloudWatch Logs. Por exemplo, você deve ter permissões para criar streams de log, criar grupos de logs, etc.
As seções a seguir descrevem como gerenciar permissões para o CloudWatch Logs. Recomendamos que você leia a visão geral primeiro.
+ [Visão geral do gerenciamento de permissões de acesso aos seus recursos do CloudWatch Logs](iam-access-control-overview-cwl.md)
+ [Usando políticas baseadas em identidade (políticas do IAM) para registros CloudWatch](iam-identity-based-access-control-cwl.md)
+ [CloudWatch Referência de permissões de registros](permissions-reference-cwl.md)
# Visão geral do gerenciamento de permissões de acesso aos seus recursos do CloudWatch Logs
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
**Topics**
+ [CloudWatch Registra recursos e operações](#CWL_ARN_Format)
+ [Entendendo a propriedade de recursos](#understanding-resource-ownership-cwl)
+ [Gerenciar acesso aos recursos da](#managing-access-resources-cwl)
+ [Especificar elementos da política: ações, efeitos e entidades principais](#actions-effects-principals-cwl)
+ [Especificar condições em uma política](#policy-conditions-cwl)
## CloudWatch Registra recursos e operações
Em CloudWatch Logs, os recursos principais são grupos de registros, fluxos de registros e destinos. CloudWatch O Logs não oferece suporte a sub-recursos (outros recursos para uso com o recurso primário).
Esses recursos e sub-recursos têm nomes de recursos da Amazon (ARNs) exclusivos associados a eles, conforme mostrado na tabela a seguir.
| Tipo de atributo | Formato ARN |
| --- | --- |
| Grupo de registros | Ambos os itens a seguir são usados. O segundo, com o `:*` no final, é o que é retornado pelo comando `describe-log-groups` CLI e pela **DescribeLogGroups**API. arn:aws:logs: ::log-group: *region* *account-id* *log\$1group\$1name* arn:aws:logs: ::log-group:: \$1 *region* *account-id* *log\$1group\$1name* Use a primeira versão, sem o `:*` final, nas seguintes situações: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html) Use a segunda versão, com o `:*` final, para referenciar o ARN ao especificar permissões nas políticas do IAM para todas as outras ações de API. |
| Stream de log | arn:aws:logs: ::log-group ::log-stream: *region* *account-id* *log\$1group\$1name* *log-stream-name* |
| Destino | arn:aws:logs: ::destino: *region* *account-id* *destination\$1name* |
Para obter mais informações sobre isso ARNs, consulte [ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_Identifiers.html#Identifiers_ARNs)o *Guia do usuário do IAM*. Para obter informações sobre CloudWatch registros ARNs, consulte [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-cloudwatch-logs) em *Referência geral da Amazon Web Services*. Para ver um exemplo de uma política que abrange CloudWatch registros, consulte[Usando políticas baseadas em identidade (políticas do IAM) para registros CloudWatch](iam-identity-based-access-control-cwl.md).
CloudWatch O Logs fornece um conjunto de operações para trabalhar com os recursos do CloudWatch Logs. Para ver uma lista das operações disponíveis, consulte [CloudWatch Referência de permissões de registros](permissions-reference-cwl.md).
## Entendendo a propriedade de recursos
A AWS conta é proprietária dos recursos criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário do recurso é a AWS conta da [entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (ou seja, a conta raiz, um usuário ou uma função do IAM) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:
+ Se você usar as credenciais da conta raiz da sua AWS conta para criar um grupo de registros, sua AWS conta é a proprietária do recurso CloudWatch Registros.
+ Se você criar um usuário em sua AWS conta e conceder permissões para criar recursos de CloudWatch registros a esse usuário, o usuário poderá criar recursos de CloudWatch registros. No entanto, sua AWS conta, à qual o usuário pertence, é proprietária dos recursos do CloudWatch Logs.
+ Se você criar uma função do IAM em sua AWS conta com permissões para criar recursos de CloudWatch registros, qualquer pessoa que possa assumir a função poderá criar recursos de CloudWatch registros. Sua AWS conta, à qual a função pertence, é proprietária dos recursos do CloudWatch Logs.
## Gerenciar acesso aos recursos da
Uma *política de permissões* descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.
**nota**
Esta seção discute o uso do IAM no contexto dos CloudWatch registros. Não são fornecidas informações detalhadas sobre o serviço IAM. Para ver a documentação completa do IAM, consulte [What is IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *IAM User Guide*. Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte a [ IAM policy reference ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *IAM User Guide*.
As políticas anexadas a uma identidade do IAM são chamadas de políticas baseadas em identidade (políticas do IAM) e as políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. CloudWatch O Logs oferece suporte a políticas baseadas em identidade e políticas baseadas em recursos para destinos, que são usadas para permitir assinaturas entre contas. Para obter mais informações, consulte [Assinaturas entre contas entre regiões](CrossAccountSubscriptions.md).
**Topics**
+ [Permissões de grupo de logs e Contributor Insights](#cloudwatch-logs-permissions-and-contributor-insights)
+ [Políticas baseadas em recursos](#resource-based-policies-cwl)
### Permissões de grupo de logs e Contributor Insights
O Contributor Insights é um recurso CloudWatch que permite analisar dados de grupos de registros e criar séries temporais que exibem dados do colaborador. É possível ver métricas sobre os principais colaboradores, o número total de colaboradores exclusivos e o uso deles. Para obter mais informações, consulte [ Usar o Contributor Insights para analisar dados de alta cardinalidade](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContributorInsights.html).
Quando você concede a um usuário as `cloudwatch:GetInsightRuleReport` permissões `cloudwatch:PutInsightRule` e, esse usuário pode criar uma regra que avalia qualquer grupo de CloudWatch registros no Logs e depois ver os resultados. Os resultados podem conter dados de colaborador para esses grupos de log. Certifique-se de conceder essas permissões somente aos usuários que possam visualizar esses dados.
### Políticas baseadas em recursos
CloudWatch O Logs oferece suporte a políticas baseadas em recursos para destinos, que você pode usar para habilitar assinaturas entre contas. Para obter mais informações, consulte [Etapa 1: criar um destino](CreateDestination.md). Os destinos podem ser criados usando a [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html)API, e você pode adicionar uma política de recursos ao destino usando a [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html)API. O exemplo a seguir permite que outra conta da AWS com o ID da conta 111122223333 assine seus grupos de logs no destino `arn:aws:logs:us-east-1:123456789012:destination:testDestination`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "",
"Effect" : "Allow",
"Principal" : {
"AWS" : "111122223333"
},
"Action" : "logs:PutSubscriptionFilter",
"Resource" : "arn:aws:logs:us-east-1:123456789012:destination:testDestination"
}
]
}
```
------
## Especificar elementos da política: ações, efeitos e entidades principais
Para cada recurso do CloudWatch Logs, o serviço define um conjunto de operações de API. Para conceder permissões para essas operações de API, o CloudWatch Logs define um conjunto de ações que você pode especificar em uma política. Algumas operações da API podem exigir permissões para mais de uma ação a fim de realizar a operação da API. Para obter mais informações sobre os recursos e operações da API, consulte [CloudWatch Registra recursos e operações](#CWL_ARN_Format) e [CloudWatch Referência de permissões de registros](permissions-reference-cwl.md).
Estes são os elementos de política básicos:
+ **Recurso**: use um nome de recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. Para obter mais informações, consulte [CloudWatch Registra recursos e operações](#CWL_ARN_Format).
+ **Ação**: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, a permissão `logs.DescribeLogGroups` permite que o usuário execute a operação `DescribeLogGroups`.
+ **Efeito**: você especifica o efeito (permitir ou negar) quando o usuário solicita a ação específica. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.
+ **Entidade principal**: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para políticas baseadas em recursos, você especifica o usuário, a conta, o serviço ou outra entidade que deseja receber permissões (aplica-se somente às políticas baseadas em recursos). CloudWatch O Logs oferece suporte a políticas baseadas em recursos para destinos.
Para saber mais sobre a sintaxe e as descrições da política do IAM, consulte a [Referência de política do AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
Para ver uma tabela que mostra todas as ações da API CloudWatch Logs e os recursos aos quais elas se aplicam, consulte[CloudWatch Referência de permissões de registros](permissions-reference-cwl.md).
## Especificar condições em uma política
Ao conceder permissões, você pode usar a linguagem da política de acesso para especificar as condições quando uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
Para expressar condições, você usa chaves de condição predefinidas. Para obter uma lista de chaves de contexto suportadas por cada AWS serviço e uma lista de chaves AWS de política abrangentes, consulte [Ações, recursos e chaves de condição para AWS serviços e chaves](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) de [contexto de condição AWS globais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
**nota**
Você pode usar tags para controlar o acesso aos recursos do CloudWatch Logs, incluindo grupos e destinos de registros. O acesso aos fluxos de log é controlado no nível do grupo de log, devido à relação hierárquica entre grupos de log e fluxos de log. Para obter mais informações sobre como usar etiquetas para controlar o acesso, consulte [Controlar acesso a recursos da Amazon Web Services usando etiquetas de recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
# Usando políticas baseadas em identidade (políticas do IAM) para registros CloudWatch
Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).
**Importante**
Recomendamos que você primeiro analise os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos seus recursos do CloudWatch Logs. Para obter mais informações, consulte [Visão geral do gerenciamento de permissões de acesso aos seus recursos do CloudWatch Logs](iam-access-control-overview-cwl.md).
Este tópico abrange o seguinte:
+ [Permissões necessárias para usar o CloudWatch console](#console-permissions-cwl)
+ [AWS políticas gerenciadas (predefinidas) para registros CloudWatch](#managed-policies-cwl)
+ [Exemplos de política gerenciada pelo cliente](#customer-managed-policies-cwl)
Veja a seguir um exemplo de política de permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
Essa política tem uma instrução que concede permissões para criar grupos e streams de log para fazer upload de eventos de log para streams de log e listar detalhes sobre streams de log.
O caractere curinga (\$1) no final do valor `Resource` significa que a instrução dá permissões para as ações `logs:CreateLogGroup`, `logs:CreateLogStream`, `logs:PutLogEvents` e `logs:DescribeLogStreams` em qualquer grupo de logs. Para limitar essa permissão a um determinado grupo de logs, substitua o caractere curinga (\$1) no ARN do recurso pelo ARN do grupo de logs específico. Para obter mais informações sobre as seções em uma declaração de política do IAM, consulte [Referência a elementos de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html) no *Manual do usuário do IAM*. Para ver uma lista que mostra todas as ações do CloudWatch Logs, consulte[CloudWatch Referência de permissões de registros](permissions-reference-cwl.md).
## Permissões necessárias para usar o CloudWatch console
Para que um usuário trabalhe com CloudWatch Logs no CloudWatch console, ele precisa ter um conjunto mínimo de permissões que permita ao usuário descrever outros AWS recursos em sua AWS conta. Para usar o CloudWatch Logs no CloudWatch console, você precisa ter permissões dos seguintes serviços:
+ CloudWatch
+ CloudWatch Registros
+ OpenSearch Serviço
+ IAM
+ Kinesis
+ Lambda
+ Amazon S3
Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda possam usar o CloudWatch console, anexe também a política `CloudWatchReadOnlyAccess` gerenciada ao usuário, conforme descrito em[AWS políticas gerenciadas (predefinidas) para registros CloudWatch](#managed-policies-cwl).
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API CloudWatch Logs AWS CLI ou para a Logs.
O conjunto completo de permissões necessárias para trabalhar com o CloudWatch console para um usuário que não está usando o console para gerenciar assinaturas de log é:
+ cloudwatch: GetMetricData
+ cloudwatch: ListMetrics
+ troncos: CancelExportTask
+ troncos: CreateExportTask
+ troncos: CreateLogGroup
+ troncos: CreateLogStream
+ troncos: DeleteLogGroup
+ troncos: DeleteLogStream
+ troncos: DeleteMetricFilter
+ troncos: DeleteQueryDefinition
+ troncos: DeleteRetentionPolicy
+ troncos: DeleteSubscriptionFilter
+ troncos: DescribeExportTasks
+ troncos: DescribeLogGroups
+ troncos: DescribeLogStreams
+ troncos: DescribeMetricFilters
+ troncos: DescribeQueryDefinitions
+ troncos: DescribeQueries
+ troncos: DescribeSubscriptionFilters
+ troncos: FilterLogEvents
+ troncos: GetLogEvents
+ troncos: GetLogGroupFields
+ troncos: GetLogRecord
+ troncos: GetQueryResults
+ troncos: PutMetricFilter
+ troncos: PutQueryDefinition
+ troncos: PutRetentionPolicy
+ troncos: StartQuery
+ troncos: StopQuery
+ troncos: PutSubscriptionFilter
+ troncos: TestMetricFilter
Para um usuário que também usará o console para gerenciar assinaturas de log, as seguintes permissões também são necessárias:
+ Sim: DescribeElasticsearchDomain
+ Sim: ListDomainNames
+ objetivo: AttachRolePolicy
+ objetivo: CreateRole
+ objetivo: GetPolicy
+ objetivo: GetPolicyVersion
+ objetivo: GetRole
+ objetivo: ListAttachedRolePolicies
+ objetivo: ListRoles
+ cinesia: DescribeStreams
+ cinesia: ListStreams
+ lambda: AddPermission
+ lambda: CreateFunction
+ lambda: GetFunctionConfiguration
+ lambda: ListAliases
+ lambda: ListFunctions
+ lambda: ListVersionsByFunction
+ lambda: RemovePermission
+ s3: ListBuckets
## AWS políticas gerenciadas (predefinidas) para registros CloudWatch
AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
As seguintes políticas AWS gerenciadas, que você pode associar aos usuários e funções na sua conta, são específicas do CloudWatch Logs:
+ **CloudWatchLogsFullAccess**— Concede acesso total aos CloudWatch registros.
+ **CloudWatchLogsReadOnlyAccess**— Concede acesso somente para CloudWatch leitura aos registros.
### CloudWatchLogsFullAccess
A **CloudWatchLogsFullAccess**política concede acesso total aos CloudWatch registros. A política inclui as `cloudwatch:GenerateQueryResultsSummary` permissões `cloudwatch:GenerateQuery` e, para que os usuários com essa política possam gerar uma string de consulta do [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) a partir de um prompt em linguagem natural. Para ver o conteúdo completo da política, consulte o *Guia [CloudWatchLogsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsFullAccess.html)de referência de políticas AWS gerenciadas*.
### CloudWatchLogsReadOnlyAccess
A **CloudWatchLogsReadOnlyAccess**política concede acesso somente para CloudWatch leitura aos registros. Ela inclui as `cloudwatch:GenerateQueryResultsSummary` permissões `cloudwatch:GenerateQuery` e, para que os usuários com essa política possam gerar uma string de consulta do [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) a partir de um prompt em linguagem natural. Para ver o conteúdo completo da política, consulte o *Guia [CloudWatchLogsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsReadOnlyAccess.html)de referência de políticas AWS gerenciadas*.
### CloudWatchOpenSearchDashboardsFullAccess
A **CloudWatchOpenSearchDashboardsFullAccess**política concede acesso para criar, gerenciar e excluir integrações com o OpenSearch Serviço e para criar, excluir e gerenciar painéis de registros vendidos nessas integrações. Para obter mais informações, consulte [Analise com o Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
Para ver o conteúdo completo da política, consulte o *Guia [CloudWatchOpenSearchDashboardsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardsFullAccess.html)de referência de políticas AWS gerenciadas*.
### CloudWatchOpenSearchDashboardAccess
A **CloudWatchOpenSearchDashboardAccess**política concede acesso para visualizar painéis de registros vendidos criados com Amazon OpenSearch Service análises. Para obter mais informações, consulte [Analise com o Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md).
**Importante**
Além de conceder essa política, para permitir que uma função ou usuário possa visualizar painéis de log vendidos, você também deve especificá-los ao criar a integração com o Serviço. OpenSearch Para obter mais informações, consulte [Etapa 1: criar a integração com o OpenSearch serviço](OpenSearch-Dashboards-Integrate.md).
Para ver o conteúdo completo da política, consulte o *Guia [CloudWatchOpenSearchDashboardAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchOpenSearchDashboardAccess.html)de referência de políticas AWS gerenciadas*.
#### CloudWatchLogsCrossAccountSharingConfiguration
A **CloudWatchLogsCrossAccountSharingConfiguration**política concede acesso para criar, gerenciar e visualizar links do Observability Access Manager para compartilhar recursos de CloudWatch registros entre contas. Para obter mais informações, consulte [Observabilidade entre contas do CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).
Para ver o conteúdo completo da política, consulte o *Guia [CloudWatchLogsCrossAccountSharingConfiguration](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsCrossAccountSharingConfiguration.html)de referência de políticas AWS gerenciadas*.
#### CloudWatchLogsAPIKeyAcesso
A política de **CloudWatchLogsAPIKeyacesso** permite a autenticação da chave da API CloudWatch Logs e a ingestão criptografada de registros. Essa política concede permissões para autenticação usando tokens de portador e gravação de eventos de registro em CloudWatch registros, com AWS KMS permissões adicionais para descriptografar e gerar chaves de dados quando os registros são criptografados.
Essa política concede as seguintes permissões:
+ `logs`— Permite que os diretores se autentiquem por meio de tokens portadores da chave da API e gravem eventos de registro em fluxos de CloudWatch registros.
+ `kms`— permite que os diretores leiam os AWS KMS principais metadados, gerem chaves de dados para criptografia e descriptografem dados. Essas permissões oferecem suporte a CloudWatch registros criptografados, permitindo que o serviço criptografe dados de registro usando chaves gerenciadas pelo cliente AWS KMS . O acesso é restrito às operações chamadas por meio do serviço CloudWatch Logs.
Para ver mais detalhes sobre a política, incluindo a versão mais recente do documento de política JSON, consulte [CloudWatchLogsAPIKeyAcesso](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchLogsAPIKeyAccess.html) no *Guia de referência de políticas AWS gerenciadas*.
### CloudWatch Registra atualizações em políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do CloudWatch Logs desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico de documentos de CloudWatch registros.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [CloudWatchLogsAPIKeyAcesso](#managed-policies-cwl-CloudWatchLogsAPIKeyAccess) — Nova política. | CloudWatch Os registros adicionaram uma nova política gerenciada de **CloudWatchLogsAPIKeyacesso**. Essa política permite a autenticação de chaves da API CloudWatch Logs e a ingestão de registros criptografados, concedendo permissões para autenticação usando tokens portadores e gravação de eventos de registro no Logs. CloudWatch | 17 de fevereiro de 2026 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): atualizar para uma política existente. | CloudWatch Os registros adicionaram permissões ao **CloudWatchLogsFullAccess**. Permissões para ações de administração de observabilidade foram adicionadas para possibilitar o acesso somente leitura aos pipelines de telemetria e às integrações de tabelas do S3. | 02 de dezembro de 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): atualizar para uma política existente. | CloudWatch Os registros adicionaram permissões ao **CloudWatchLogsReadOnlyAccess**. Permissões para ações de administração de observabilidade foram adicionadas para possibilitar o acesso somente leitura aos pipelines de telemetria e às integrações de tabelas do S3. | 02 de dezembro de 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): atualizar para uma política existente. | CloudWatch Os registros adicionaram permissões ao **CloudWatchLogsFullAccess**. As permissões para `cloudwatch:GenerateQueryResultsSummary` foram adicionadas para permitir a geração de um resumo em linguagem natural dos resultados da consulta. | 20 de maio de 2025 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): atualizar para uma política existente. | CloudWatch Os registros adicionaram permissões ao **CloudWatchLogsReadOnlyAccess**. As permissões para `cloudwatch:GenerateQueryResultsSummary` foram adicionadas para permitir a geração de um resumo em linguagem natural dos resultados da consulta. | 20 de maio de 2025 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): atualizar para uma política existente. | CloudWatch Os registros adicionaram permissões ao **CloudWatchLogsFullAccess**. As permissões para Amazon OpenSearch Service e o IAM foram adicionadas para permitir a integração do CloudWatch Logs com o OpenSearch Service para alguns recursos. | 1.º de dezembro de 2024 |
| [CloudWatchOpenSearchDashboardsFullAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardsFullAccess)— Nova política do IAM. | CloudWatch A Logs adicionou uma nova política do IAM, **CloudWatchOpenSearchDashboardsFullAccess**.- Essa política concede acesso para criar, gerenciar e excluir integrações com o OpenSearch Service e para criar, gerenciar e excluir painéis de registros vendidos nessas integrações. Para obter mais informações, consulte [Analise com o Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1.º de dezembro de 2024 |
| [CloudWatchOpenSearchDashboardAccess](#managed-policies-cwl-CloudWatchOpenSearchDashboardAccess)— Nova política do IAM. | CloudWatch A Logs adicionou uma nova política de IAM, **CloudWatchOpenSearchDashboardAccess**.- Essa política concede acesso à visualização de painéis de registros vendidos fornecidos por. Amazon OpenSearch Service Para obter mais informações, consulte [Analise com o Amazon OpenSearch Service](CloudWatchLogs-OpenSearch-Dashboards.md). | 1.º de dezembro de 2024 |
| [CloudWatchLogsFullAccess](#managed-policies-cwl-CloudWatchLogsFullAccess): atualizar para uma política existente. | CloudWatch Os registros adicionaram uma permissão ao **CloudWatchLogsFullAccess**. A `cloudwatch:GenerateQuery` permissão foi adicionada para que os usuários com essa política possam gerar uma string de consulta do [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) a partir de um prompt em linguagem natural. | 27 de novembro de 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess): atualizar para uma política existente. | CloudWatch adicionou uma permissão para **CloudWatchLogsReadOnlyAccess**. A `cloudwatch:GenerateQuery` permissão foi adicionada para que os usuários com essa política possam gerar uma string de consulta do [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) a partir de um prompt em linguagem natural. | 27 de novembro de 2023 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – atualização para uma política existente | CloudWatch Os registros adicionaram permissões ao **CloudWatchLogsReadOnlyAccess**. As `logs:StopLiveTail` permissões `logs:StartLiveTail` e foram adicionadas para que os usuários com essa política possam usar o console para iniciar e interromper CloudWatch as sessões de live tail do Logs. Para obter mais informações, consulte [Usar o Live Tail para visualizar registros quase em tempo real](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_LiveTail.html). | 6 de junho de 2023 |
| [CloudWatchLogsCrossAccountSharingConfiguration](#managed-policies-cwl-CloudWatchLogsCrossAccountSharingConfiguration) – Nova política | CloudWatch O Logs adicionou uma nova política para permitir que você gerencie links de observabilidade CloudWatch entre contas que compartilham grupos de CloudWatch registros do Logs. Para obter mais informações, consulte [ CloudWatch observabilidade entre contas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) | 27 de novembro de 2022 |
| [CloudWatchLogsReadOnlyAccess](#managed-policies-cwl-CloudWatchLogsReadOnlyAccess) – atualização para uma política existente | CloudWatch Os registros adicionaram permissões ao **CloudWatchLogsReadOnlyAccess**. As `oam:ListAttachedLinks` permissões `oam:ListSinks` e foram adicionadas para que os usuários com essa política possam usar o console para visualizar dados compartilhados das contas de origem na CloudWatch observabilidade entre contas. | 27 de novembro de 2022 |
### Exemplos de política gerenciada pelo cliente
Você pode criar suas próprias políticas personalizadas do IAM para permitir permissões para ações e recursos do CloudWatch Logs. Você pode anexar essas políticas personalizadas a usuários ou grupos do que exijam essas permissões.
Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias ações do CloudWatch Logs. Essas políticas funcionam quando você usa a API CloudWatch Logs ou AWS CLI a. AWS SDKs
**Topics**
+ [Exemplo 1: Permitir acesso total aos CloudWatch registros](#w2aac59c15c15c23c19b9)
+ [Exemplo 2: Permitir acesso somente de leitura aos registros CloudWatch](#w2aac59c15c15c23c19c11)
+ [Exemplo 3: Permitir acesso a um grupo de logs](#w2aac59c15c15c23c19c13)
#### Exemplo 1: Permitir acesso total aos CloudWatch registros
A política a seguir permite que um usuário acesse todas as ações do CloudWatch Logs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Exemplo 2: Permitir acesso somente de leitura aos registros CloudWatch
AWS fornece uma **CloudWatchLogsReadOnlyAccess**política que permite acesso somente para leitura aos dados do CloudWatch Logs. Esta política inclui as seguintes permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"logs:StartLiveTail",
"logs:StopLiveTail",
"cloudwatch:GenerateQuery"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
#### Exemplo 3: Permitir acesso a um grupo de logs
A política a seguir permite que um usuário leia e grave eventos de log em um grupo de logs especificado.
**Importante**
O `:*` no final do nome do grupo de logs na linha de `Resource` é necessário para indicar que a política se aplica a todos os fluxos de logs nesse grupo de logs. Se você omitir o `:*`, a política não será aplicada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:us-west-2:123456789012:log-group:SampleLogGroupName:*"
}
]
}
```
------
### Usar etiquetas e políticas do IAM para controle no nível do grupo de logs
Você pode conceder aos usuários acesso a determinados grupos de logs enquanto os impede de acessar outros grupos de logs. Para fazer isso, etiquete seus grupos de logs e use políticas do IAM que fazem referência a essas etiquetas. Para aplicar tags a um grupo de logs, você precisa ter a permissão `logs:TagResource` ou `logs:TagLogGroup`. Isso se aplica se você estiver atribuindo tags ao grupo de logs ao criá-lo. ou atribuí-los mais tarde.
Para obter mais informações sobre como marcar grupos de logs, consulte [Marque grupos de registros no Amazon CloudWatch Logs](Working-with-log-groups-and-streams.md#log-group-tagging).
Ao etiquetar grupos de logs, você pode conceder uma política do IAM a um usuário para permitir o acesso a apenas os grupos de logs com determinada etiqueta. Por exemplo, a instrução de política a seguir concede acesso a apenas grupos de logs com o valor `Green` para a chave de tag `Team`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/Team": "Green"
}
}
}
]
}
```
------
As operações **StopQuery**e a **StopLiveTail**API não interagem com AWS os recursos no sentido tradicional. Elas não retornam dados, não colocam dados nem modificam recursos. Em vez disso, eles operam somente em uma determinada sessão final ao vivo ou em uma determinada consulta do CloudWatch Logs Insights, que não são categorizadas como recursos. Como resultado, ao especificar o campo `Resource` nas políticas do IAM para essas operações, será necessário definir o valor do campo `Resource` como `*`, como no exemplo a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[ {
"Effect": "Allow",
"Action": [
"logs:StopQuery",
"logs:StopLiveTail"
],
"Resource": "*"
}
]
}
```
------
Para obter mais informações sobre como usar instruções de política do IAM, consulte [Controlar o acesso usando políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) no *Manual do usuário do IAM*.
# CloudWatch Referência de permissões de registros
Ao configurar o [Controle de acesso](auth-and-access-control-cwl.md#access-control-cwl) e escrever políticas de permissões que podem ser anexadas a uma identidade do IAM (políticas baseadas em identidade), você pode usar a tabela a seguir como referência. A tabela lista cada operação da API CloudWatch Logs e as ações correspondentes para as quais você pode conceder permissões para realizar a ação. Você especifica as ações no campo `Action` das políticas. Para o `Resource` campo, você pode especificar o ARN de um grupo de registros ou stream de registros, ou especificar `*` para representar todos os recursos de CloudWatch registros.
Você pode usar chaves de condição AWS-wide em suas políticas de CloudWatch registros para expressar condições. Para obter uma lista completa AWS de chaves gerais, consulte Chaves de [contexto de condição AWS globais e do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
**nota**
Para especificar uma ação, use o prefixo `logs:` seguido do nome da operação da API. Por exemplo:`logs:CreateLogGroup`,`logs:CreateLogStream`, ou `logs:*` (para todas as ações do CloudWatch Logs).
**CloudWatch Registra as operações da API e as permissões necessárias para ações**
| CloudWatch Registra as operações da API | Permissões obrigatórias (ações de API) |
| --- | --- |
| [CancelExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CancelExportTask.html) | `logs:CancelExportTask` Necessária para cancelar uma tarefa de exportação pendente ou em execução. |
| [CreateExportTask](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateExportTask.html) | `logs:CreateExportTask` Necessária para exportar dados de um grupo de logs para um bucket do Amazon S3. |
| [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html) | `logs:CreateLogGroup` Necessária para criar um novo grupo de logs. |
| [CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html) | `logs:CreateLogStream` Necessária para criar um novo stream de logs em um grupo de logs. |
| [DeleteDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDestination.html) | `logs:DeleteDestination` Necessária para excluir um destino de log e desativar seus filtros de assinatura. |
| [DeleteLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogGroup.html) | `logs:DeleteLogGroup` Necessária para excluir um grupo de logs e eventos de log arquivados associados. |
| [DeleteLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteLogStream.html) | `logs:DeleteLogStream` Necessária para excluir um stream de logs e eventos de log arquivados associados. |
| [DeleteMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteMetricFilter.html) | `logs:DeleteMetricFilter` Necessária para excluir um filtro de métrica associado a um grupo de logs. |
| [DeleteQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteQueryDefinition.html) | `logs:DeleteQueryDefinition` Obrigatório para excluir uma definição de consulta salva no CloudWatch Logs Insights. |
| [DeleteResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteResourcePolicy.html) | `logs:DeleteResourcePolicy` Obrigatório para excluir uma política de recursos de CloudWatch registros. |
| [DeleteRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteRetentionPolicy.html) | `logs:DeleteRetentionPolicy` Necessária para excluir uma política de retenção do grupo de logs. |
| [DeleteSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteSubscriptionFilter.html) | `logs:DeleteSubscriptionFilter` Necessária para excluir o filtro de assinatura associado a um grupo de logs. |
| [DescribeDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDestinations.html) | `logs:DescribeDestinations` Necessária para visualizar todos os destinos associado à conta. |
| [DescribeExportTasks](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeExportTasks.html) | `logs:DescribeExportTasks` Necessária para visualizar todas as tarefas de exportação associadas à conta. |
| [DescribeLogGroups](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogGroups.html) | `logs:DescribeLogGroups` Necessária para visualizar todos os grupos de logs associados à conta. |
| [DescribeLogStreams](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html) | `logs:DescribeLogStreams` Necessária para visualizar todos os streams de logs associados a um grupo de logs. |
| [DescribeMetricFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeMetricFilters.html) | `logs:DescribeMetricFilters` Necessária para visualizar todas as métricas associadas a um grupo de logs. |
| [DescribeQueryDefinitions](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueryDefinitions.html) | `logs:DescribeQueryDefinitions` Obrigatório para ver a lista de definições de consulta salvas no CloudWatch Logs Insights. |
| [DescribeQueries](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeQueries.html) | `logs:DescribeQueries` Obrigatório para ver a lista de consultas do CloudWatch Logs Insights que estão programadas, em execução ou que foram executadas recentemente. |
| [DescribeResourcePolicies](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeResourcePolicies.html) | `logs:DescribeResourcePolicies` Obrigatório para ver uma lista de políticas de recursos do CloudWatch Logs. |
| [DescribeSubscriptionFilters](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeSubscriptionFilters.html) | `logs:DescribeSubscriptionFilters` Necessária para visualizar todos os filtros de assinatura associados a um grupo de logs. |
| [FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) | `logs:FilterLogEvents` Necessária para classificar eventos de log por padrão de filtros de grupos. |
| [GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) | `logs:GetLogEvents` Necessária para recuperar eventos de log a partir de um stream de logs. |
| [GetLogGroupFields](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogGroupFields.html) | `logs:GetLogGroupFields` Necessária para recuperar a lista de campos incluídos nos eventos de log em um grupo de log. |
| [GetLogRecord](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogRecord.html) | `logs:GetLogRecord` Necessário para recuperar os detalhes de um único evento de log. |
| [GetLogObject](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogObject.html) | `logs:GetLogRecord` Necessário para buscar o conteúdo de grandes porções de eventos de log que foram ingeridos por meio da PutOpenTelemetryLogs API. |
| [GetQueryResults](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetQueryResults.html) | `logs:GetQueryResults` Necessário para recuperar os resultados das consultas do CloudWatch Logs Insights. |
| ListEntitiesForLogGroup (permissão CloudWatch somente para console) | `logs:ListEntitiesForLogGroup` Necessária para encontrar as entidades associadas a um grupo de logs. Necessário para explorar registros relacionados no CloudWatch console. |
| ListLogGroupsForEntity (permissão CloudWatch somente para console) | `logs:ListLogGroupsForEntity` Necessária para encontrar os grupos de logs associados a uma entidade. Necessário para explorar registros relacionados no CloudWatch console. |
| [ListTagsLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsLogGroup.html) | `logs:ListTagsLogGroup` Necessária para listar as tags associadas a um grupo de log. |
| [ListLogGroups](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_API_ListLogGroups.html) | `logs:DescribeLogGroups` Necessária para visualizar todos os grupos de logs associados à conta. |
| [PutDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestination.html) | `logs:PutDestination` Necessária para criar ou atualizar um fluxo de logs de destino (como um fluxo do Kinesis). |
| [PutDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDestinationPolicy.html) | `logs:PutDestinationPolicy` Necessária para criar ou atualizar uma política de acesso associada a um destino de log existente. |
| [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html) | `logs:PutLogEvents` Necessária para carregar um lote de eventos de log para um stream de log. |
| [PutMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutMetricFilter.html) | `logs:PutMetricFilter` Necessária para criar ou atualizar um filtro de métrica e associá-lo a um grupo de logs. |
| [PutQueryDefinition](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutQueryDefinition.html) | `logs:PutQueryDefinition` Obrigatório para salvar uma consulta no CloudWatch Logs Insights, incluindo consultas salvas com parâmetros. |
| [PutResourcePolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutResourcePolicy.html) | `logs:PutResourcePolicy` Necessário para criar uma política de recursos de CloudWatch registros. |
| [PutRetentionPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html) | `logs:PutRetentionPolicy` Necessária para definir o número de dias nos quais manter os eventos de log (retenção) em um grupo de logs. |
| [PutSubscriptionFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutSubscriptionFilter.html) | `logs:PutSubscriptionFilter` Necessária para criar ou atualizar um filtro de assinatura e associá-lo a um grupo de logs. |
| [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html) | `logs:StartQuery` Necessário para iniciar consultas do CloudWatch Logs Insights. Para executar uma consulta salva com parâmetros, você também precisa`logs:DescribeQueryDefinitions`. |
| [StopQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StopQuery.html) | `logs:StopQuery` Obrigatório para interromper uma consulta do CloudWatch Logs Insights que está em andamento. |
| [TagLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagLogGroup.html) | `logs:TagLogGroup` Obrigatório para adicionar ou atualizar as tags do grupo de logs. |
| [TestMetricFilter](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TestMetricFilter.html) | `logs:TestMetricFilter` Necessária para testar um padrão de filtro em relação a uma amostra de mensagens de eventos de log. |
# Usando funções vinculadas a serviços para Logs CloudWatch
O Amazon CloudWatch Logs usa AWS Identity and Access Management funções [vinculadas a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente aos CloudWatch Logs. Os papéis vinculados ao serviço são predefinidos pelo CloudWatch Logs e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço torna a configuração de CloudWatch registros mais eficiente porque você não precisa adicionar manualmente as permissões necessárias. CloudWatch O Logs define as permissões de seus papéis vinculados ao serviço e, a menos que seja definido de outra forma, somente o CloudWatch Logs pode assumir esses papéis. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Para obter informações sobre outros produtos que oferecem suporte a funções vinculadas a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Procure os serviços que têm **Sim** na coluna **Função vinculada ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Permissões de função vinculadas ao serviço para Logs CloudWatch
CloudWatch O Logs usa a função vinculada ao serviço chamada. **AWSServiceRoleForLogDelivery** CloudWatch O Logs usa essa função vinculada ao serviço para gravar registros diretamente no Firehose. Para obter mais informações, consulte [Habilitar o registro a partir de AWS serviços](AWS-logs-and-resource-policy.md).
A função vinculada ao serviço **AWSServiceRoleForLogDelivery** confia nos seguintes serviços para assumir a função:
+ `logs.amazonaws.com`
A política de permissões de função permite que o CloudWatch Logs conclua as seguintes ações nos recursos especificados:
+ Ação: `firehose:PutRecord` e `firehose:PutRecordBatch` em todos os fluxos do Firehose que tenham uma tag com uma chave `LogDeliveryEnabled` com um valor de `True`. Essa tag é anexada automaticamente a um fluxo do Firehose quando você cria uma assinatura para entregar os logs ao Firehose.
Você deve configurar permissões para que uma entidade do IAM crie, edite ou exclua uma função vinculada ao serviço. Essa entidade pode ser um usuário, um grupo ou uma função. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
## Criação de uma função vinculada ao serviço para o Logs CloudWatch
Não é necessário criar manualmente uma função vinculada ao serviço. Quando você configura registros para serem enviados diretamente para um stream do Firehose na, na ou na AWS API Console de gerenciamento da AWS AWS CLI, o CloudWatch Logs cria a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você configura novamente os registros para serem enviados diretamente para um stream do Firehose, o CloudWatch Logs cria novamente a função vinculada ao serviço para você.
## Editando uma função vinculada ao serviço para Logs CloudWatch
CloudWatch O Logs não permite que você edite **AWSServiceRoleForLogDelivery**, nem qualquer outra função vinculada ao serviço, depois de criá-la. Não é possível alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para Logs CloudWatch
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
**nota**
Se o serviço CloudWatch Logs estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir CloudWatch os recursos do Logs usados pela função vinculada ao **AWSServiceRoleForLogDelivery**serviço**
+ Interrompa o envio de logs diretamente para os fluxos do Firehose.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função **AWSServiceRoleForLogDelivery**vinculada ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role).
### Regiões suportadas para funções vinculadas ao serviço CloudWatch Logs
CloudWatch O Logs oferece suporte ao uso de funções vinculadas ao serviço em todas as AWS regiões em que o serviço está disponível. Para obter mais informações, consulte [CloudWatch Regiões e endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region) de registros.
# CloudWatch Registra atualizações em funções vinculadas ao AWS serviço
Veja detalhes sobre as atualizações da função vinculada ao AWS serviço para CloudWatch Logs desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico de documentos de CloudWatch registros.
| Alteração | Descrição | Data |
| --- | --- | --- |
| AWSServiceRoleForLogDelivery política [de função vinculada ao serviço — atualização de uma política](AWS-logs-infrastructure-Firehose.md) existente | CloudWatch Os registros alteraram as permissões na política do IAM associada à função **AWSServiceRoleForLogDelivery**vinculada ao serviço. Foi feita a seguinte alteração: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/AmazonCloudWatch/latest/logs/cwl-slrpolicy-updates.html) | 15 de julho de 2021 |
| CloudWatch Os registros começaram a rastrear as alterações | CloudWatch A Logs começou a rastrear as alterações em suas políticas AWS gerenciadas. | 10 de junho de 2021 |